Analiza e-mail-urilor și transformarea acestora în mijloace de probă

Articol postat de:

images_1286638683

Serviciul de e-mail permite utilizatorului:

  • sa trimita (send) si sa primeasca (receive) mesaje;
  • sa raspunda (reply) si sa transmita mai departe (forward) mesajele primite;
  • sa trimita un mesaj in acelasi timp la mai multe adrese de e-mail;
  • sa ataseze diferite fisiere mesajului trimis;
  • sa salveze sub diferite forme mesajul trimis si sa il printeze;
  • sa cripteze si sa ascunda mesajul.

Adresa de e-mail este formata din trei componente (de exemplu adresa polacad@yahoo.com):

  • nume utilizator „username” – (exemplu polacad);
  • numele serverului de mail unde este gazduita casuta postala a utilizatorului – (exemplu Yahoo);
  • prescurtarea tipului domeniului – (exemplu com).

Mesajele e-mail propriu-zise sunt similare unei scrisori clasice, fiind formate din doua parti principale: partea superioara (header) a e-mail-ului, care contine informatii referitoare la numele si adresa expeditorului respectiv destinatarului, precum si subiectul mesajului trimis, si „corpul” acestuia (body) care cuprinde mesajul efectiv transmis.

Pentru investigator prezinta importanta ambele parti ale mesajului dar mai ales header-ul si, in special, partea ascunsa a acestuia, respectiv proprietatile mesajului.

Header-ul e-mail-ului mai poate contine si alte informatii, unele ajutand la descrierea mai exacta a sistemului de care dispune suspectul investigat, altele furnizand mai multe informatii referitoare la tipul de mesaj analizat.

Astfel, serverele de mail ale Hotmail si Yahoo adauga la header o linie de text deosebit de importanta pentru anchetator, referitoare la adresa de IP (X-originating-IP) a calculatorului de pe care s-a realizat conexiunea la aceste servere.

Analiza header-ului mesajelor primite sau trimise se poate face si cu ajutorul unor programe pentru calculator speciale

Studierea fisierelor de e-mail ale suspectului poate releva suficiente informatii referitoare la activitatea infractionala a acestuia. Cu acest prilej, de o mare importanta pentru investigator sunt fisierele ce se pot atasa mesajelor de e-mail (attachement). Este foarte usor ca astfel de fisiere sa fie redenumite si salvate cu extensii diferite fata de cele reale (fisierele document cu extensie .doc pot fi convertite in fisiere grafice.bmp, .jpeg, sau chiar intr-un format inexistent), ingreunand astfel deschiderea si citirea lor de catre investigator.

Sursa: PRUNĂ, Ștefan; MIHAI, Ioan-Cosmin; “Criminalitatea informatică”, ISBN 978-606-530-073-6, Editura Sitech, 2008